Minacce informatiche, non siamo pronti alla tempesta del 2017: come rimediare
Per poter fronteggiare i rischi che possiamo prevedere in arrivo il prossimo anno, l’attenzione del governo e degli operatori dovrebbe essere focalizzata su poche ma importanti aree. Vediamole
5 Dicembre 2016
Andrea Rigoni, Intellium - Deloitte
Senza grande sorpresa da parte degli addetti ai lavoro, il 2016 è stato un anno estremamente denso di accadimenti legati alla cyber security. Fin troppi per essere elencati tutti.
Da un punto di vista degli eventi internazionali, il 2016 si è aperto con la notizia del grande attacco filo-governativo ai danni dell’infrastrutture elettrica ucraina che ha sollevato grandi preoccupazioni sulla convergenza tra cyber e fisico. La scena è poi stata rubata dal dibattito scatenato dal caso FBI-Apple, che ha aperto numerosi interrogativi sulla tensione tra privacy e security, tra governi e industria e il corretto bilanciamento di questi ai fini di sicurezza nazionale. Ancor più rilevanti sono state le notizie legate al conflitto US-Russia legato alle elezioni presidenziali americane, sul quale stanno pesando dubbi sulla possibile interferenza esterna sul voto elettronico. Non solo: è emerso un possibile ruolo dei social utilizzati ai fini di manipolazione del voto, attraverso un “hacking” degli elettori perpetrato attraverso la manipolazione delle informazioni. Quest’ultimo punto non è assolutamente nuovo per gli esperti di Cyber, in quando anche i sistemi completamente disconnessi, in realtà sono connessi attraverso operatori umani che a loro volta sono collegati ai social network e i cui comportamenti possono essere influenzati attraverso una manipolazione di contenuti. Per chiudere con i grandi eventi internazionali, va ricordato il massivo attacco contro alcuni siti globali (news, commerce, social) effettuato attaccando una componente vitale di Internet, il DNS, ricordando a tutti la grande vulnerabilità dell’intero sistema Internet, aumentato anche dall’entrata di miliardi di device dell’Internet of Things che stanno cominciando a dimostrare il grande potenziale di rischio che introducono. A livello Italiano vanno invece menzionati numerosi attacchi a danno di siti delle pubbliche amministrazioni che hanno portato a disservizi evidenti (indisponibilità di siti e servizi). In generale, il numero di incidenti a danno di obiettivi Italiani sono stati proporzionalmente minori rispetto a quelli rilevati da altri paesi. Questo dato può essere letto in due modi: siamo stati più fortunati oppure abbiamo una capacità minore di rilevazione e gestione degli attacchi.
Questo articolo è uno degli approfondimenti raccolti nel FPA Annual Report 2016. La pubblicazione è gratuita, ma per scaricarla è necessario essere iscritti alla community di FPA. Scarica FPA Annual Report 2016.
Sul fronte regolatorio, le due più importanti novità sono state la GDPR – General Data Protection Regulation, regolamento europeo in materia di protezione dei dati personali, e la direttiva NIS – Network and Information Security Directive, che sarà recepita in Italia entro il 2018. Si tratta di due interventi importanti che avranno un impatto rilevante nel breve e lungo termine. La GDPR essendo un regolamento ha effetto immediato e obbligherà in tempi brevi tutte le aziende a migliorare i loro piano di protezione dei dati personali. La direttiva NIS avrà tempi più lunghi, ma potrebbe comunque sortire effetti importanti: il condizionale è d’obbligo, poiché trattandosi di una direttiva, gli stati membri avranno un certo margine di manovra e questo è un aspetto dirimente in quanto necessitiamo di soluzioni globali a problemi globali. Una delle più importanti ripercussioni della direttiva NIS sarà la creazione di CERT (Computer Emergency Readiness Team) presso i fornitori di servizi essenziali (ad esempio energia, trasporti, servizi finanziari, telecomunicazioni, difesa, istituzioni pubbliche, ecc.) e di CERT di settore al fine di favorire il coordinamento sia nazionale che internazionale.
Nel Summit NATO di Ottobre 2016 a Varsavia, i paesi alleati hanno concordato sulla necessità di dichiarare lo spazio Cyber come quinto spazio operazionale, comparandolo ad aria, spazio, terra e mare e aprendo le porte a scenari ibridi sia di minaccia che di difesa. A sostegno di questa visione, è anche stato emesso il Cyber Defence Pledge nel quale si richiamano tutti i paesi alleati a potenziare le loro difese Cyber, adottando approcci inclusivi che mirino alla protezione non solo dei sistemi di difesa, ma anche del governo e dei servizi essenziali.
Su questo fronte, anche a seguito delle elezioni presidenziali americane, l’Europa ha finalmente avviato una riflessione seria sul modello di difesa europeo e nell’incontro di Novembre tra tutti i ministri della difesa si è convenuto che l’Europa dovrà puntare a sviluppare un modello di difesa cooperativa e che la Cyber Defence è un elemento portante di tale strategia.
Sul fronte italiano, a inizio 2016 è stato lanciato il Framework Nazionale di Cyber Security che mutuando l’impostazione proposta dal NIST americano, fornisce un quadro di riferimento standard per tutti i settori. Si tratta di un elemento chiave per le future iniziative del governo, poiché servirà da base per la creazione di un modello di standard e requisiti per la sicurezza sia del settore pubblico che privato. Su questa linea, AGID ha prodotto i requisiti minimi di sicurezza ICT per la pubblica amministrazione e sono ora in fase di pubblicazione.
Cosa ci aspetta per il 2017? Fare previsioni puntuali in questo settore non è facile, ma ci sono alcuni aspetti dove purtroppo l’analisi delle tendenze vale e ci da risultati preoccupanti. L’aggressività degli attacchi sta aumentando, le organizzazioni criminali e le capacità ostili di altri governi stanno progredendo molto rapidamente e il livello di sofisticazione degli attacchi è aumentato enormemente. Nel 2017 ci aspettiamo attacchi ancora più sofisticati che faranno leva su dimensioni multiple: sicurezza fisica, tecniche sociali e comportamentali, codici malevoli di nuova generazione alimentati da intelligenza artificiale e quindi in grado di aggirare le più comuni contromisure. Aumenteranno gli attacchi invisibili: è evidente che molti attori di minaccia hanno l’obiettivo di continuare ad operare in modo invisibile, pertanto sarà sempre più complesso identificare per tempo queste tipologie di attacchi. Inoltre, la rilevazione è resa più complessa dall’aumentare del numero di nodi e dalle diversità di protocolli e di trame di interconnessione, fenomeni accentuati dall’esplosione di Cloud, Internet of Things e a breve dalle connected cars. Le barriere tra pubblico e privato saranno ancor più messe in discussione da attacchi provenienti da forze governative ostili a danno di operatori privati e che apriranno sempre più interrogativi sul ruolo (indispensabile) dei governi nella difesa del paese, dei servizi essenziali, ma anche del cittadini nel digital single market.
Per poter fronteggiare questo scenario, l’attenzione del governo e degli operatori dovrebbe essere focalizzata su poche ma importanti aree:
- Creazione di esperti e loro mantenimento all’interno delle amministrazioni, centri di ricerca e aziende Italiane. Si tratta del carburante fondamentale di un sistema di difesa nazionale. Senza questo ingrediente nessun’altra iniziativa è sostenibile. Questo implica la creazione di corsi di laurea (sia breve che magistrale) che possa produrre rapidamente il numero sufficiente di esperti richiesti dalla PA e dal Settore Privato; di percorsi privilegiati per permettere a questi esperti di entrare direttamente nelle amministrazioni, nella difesa, nell’intelligence e nei grandi operatori di infrastrutture critiche; di ipotizzare fondi di ricerca destinati in via prioritaria a partnership pubblico – private finalizzate allo sviluppo di eccellenze e prodotti e soluzioni che arricchiranno il patrimonio intellettuale del nostro paese. Andrebbero inoltre pensati degli incentivi al fine di creare poli di ricerca di valenza internazionale: non consideriamo che molti ricercatori internazionali a parità di condizioni lavorative, preferirebbero di gran lunga lavorare nel nostro paese per il nostro stile di vita, le nostre abitudini, la bellezza del nostro territorio e delle nostre tradizioni. E invece i miglior italiani emigrano all’estero, spesso finendo in situazioni professionalmente migliori, ma logisticamente sconvenienti.
- Individuazione di responsabilità certe e chiare: è fondamentale investire delle corrette responsabilità tutte quelle figure che giocano un ruolo chiave nella Cyber security delle organizzazioni. A partire dagli amministratori delegati/consiglieri di amministrazione e direttori generali. Hanno una responsabilità implicita e inalienabile, già sancita dalle leggi, ma che quasi sempre non è percepita quando si parla di Cyber. E’ quindi necessaria un’opera di sensibilizzazione forte e chiara, procedendo contro comportamenti negligenti. Inoltre è chiave l’individuazione di una figura di riferimento, che fuori Italia è definita CISO – Chief Information Security Officer. Il CISO coordina tutte le iniziative, facendo da tramite tra il top management e tutte le funzioni operative coinvolte nella security. Non si cada nell’errore di pensare questa struttura come a se stante e indipendente: tutte le funzioni dell’azienda e dell’amministrazione concorrono al suo livello di protezione, pertanto il ruolo del CISO è un ruolo delicato e trasversale, che deve disporre anche delle leve giuste affinché i dettami degli amministratori (e dello stato) vengano rispettati.
- Proteggere un moderno servizio critico è diventato compito arduo, per l’elevata complessità, dinamicità e personalizzazione dei servizi informativi e tecnologici. Pertanto non esistono ricette fisse per la loro messa in sicurezza. Sebbene teoricamente le misure minime sono un buon punto di partenza, nel 2017 queste sono insufficienti. Ogni organizzazione può mettere in campo migliaia di controlli diversi e ogni controllo può essere personalizzato a seconda del settore, della cultura aziendale, delle tecnologie impiegate, dei processi in atto. Per aiutare le organizzazioni nel definire piani solidi intervengono i framework e gli standard, che forniscono un catalogo di contromisure finalizzate a mitigare un ampio spettro di rischi. E’ compito dell’organizzazione, valutati i rischi specifici a cui si è esposti, gli eventuali impatti e l’appetito al rischio, di selezionare le contromisure più indicate. Gli standard aiutano in questo, poiché forniscono indicazioni specifiche sull’adozione dei controlli. In alcuni settori, come la pubblica amministrazione o gli operatori di servizi critici, è indispensabile introdurre un processo di compliance, ovvero di obbligo di aderenza agli standard con verifiche periodiche effettuate da soggetti terzi. E’ questo il passaggio chiave già adottato da numerosi governi, nonché da una moltitudine di settori critici anche in Italia, come ad esempio il trasporto navale, aereo, ferroviario, il settore automobilistico, gli elettrodomestici, i sistemi elettrici. Gli standard non forniscono la ricetta, ma gli ingredienti. La ricetta viene stabilita da ogni singola organizzazione sulla specificità delle loro situazione (rischi, impatti, appetito di rischio, necessità del business, competizione, ecc.). Questo consente grandi livelli di libertà, utili in particolare nel settore privato, pur fornendo garanzie sulla solidità del piano di contromisure identificato. Per fare questo, il Governo dovrebbe disporre attraverso una legge un sistema di standard e un processo di compliance da estendere come minimo alla Pubblica Amministrazione e ai proprio fornitori.
- CERT: La creazione di Computer Emergency Readiness Team è una pratica adottata da molti paesi e da molti settori per avviare capacità avanzate di rilevazione e risposta ad incidenti informatici. Il vero scopo non è tanto quello di gestire l’incidente, poiché quando avviene è spesso troppo tardi per intervenire efficacemente, ma per imparare dagli incidenti minori (quelli che in gergo aeronautico sono definiti i near misses, ovvero quegli incidenti andati a buon fine, ma da cui si può imparare molto per evitarne di più catastrofici). Ogni grande azienda e amministrazione dovrebbe disporre di un proprio CERT, ricorrendo a sevizi esterni laddove non sia in grado di sostenere autonomamente le necessità di competenze e strutture specializzate. Nel 2017 assumeranno sempre più importanza pratiche provenienti dal mondo militare e della protezione civile relativamente alle esercitazioni. Come un pilota di linea impara a gestire un guasto ad un motore in un simulatore, così i CERT dovranno condurre esercitazioni periodiche per addestrare il personale e prepararlo agli scenari di attacco più complessi.
- Industria 4.0: è la grande iniziativa governativa per guidare la rivoluzione del sistema industriale del nostro paese. L’Industria 4.0 è una enorme opportunità, nella quale se non si indirizza la Cyber Security fin dall’inizio, può esporre il sistema produttivo a rischi che oggi facciamo fatica ad immaginare. E’ pertanto fondamentale introdurre meccanismi di incentivazione ad una implementazione di Industria 4.0 sicura. Farlo nel momento del disegno ha impatti economici trascurabili e un livello di efficacia altissimo. Inserire la sicurezza a posteriori è costoso e inefficace.
Il nostro paese ha cominciato a cogliere le sfide poste dal digitale e dall’innovazione. Sebbene con ritardo sono state fatte manovre importanti, adesso è d’obbligo accelerare. Ogni ritardo porterà inevitabilmente a conseguenze potenzialmente pesanti.